Selon un rapport de CoinDesk relayé par TechFlow, au moins 10 portefeuilles sous forme d'extensions de navigateur, dont MetaMask et Phantom, pourraient présenter un risque d'exposition des informations de connexion en raison d'un problème dans le langage JavaScript. Cette vulnérabilité permettrait aux mots de récupération (mnémoniques) de rester stockés en mémoire pendant un certain temps, ce qui pourrait être exploité par des attaquants. MetaMask et Phantom ont désormais corrigé cette faille.
MetaMask précise que le risque d’intrusion n’existe que si les trois conditions suivantes sont simultanément remplies : le disque dur n’est pas chiffré, les mots de récupération ont été importés sur un appareil non sécurisé ou compromis, et la fonction « Afficher les mots de récupération » a été utilisée lors de l’importation.
Par ailleurs, Halborn, qui a révélé cette vulnérabilité, a reçu une récompense de 50 000 dollars et recommande aux utilisateurs de passer à une nouvelle adresse de portefeuille. Steve Walbroehl, cofondateur de Halborn, indique que cette faille existait depuis longtemps et qu’il est préférable, par prudence, de changer d’adresse de portefeuille.




